Datenschutz-Newsletter Tobias Lange Externer Datenschutzbeauftragter
Datenschutz-Newsletter Tobias Lange – Externer Datenschutzbeauftragter
Logo Tobias Lange Unternehmensberatung

Tobias Lange

Unternehmensberater
Externer Datenschutzbeauftragter
Hamburg, den 06. Oktober 2022

DATENSCHUTZ NEWSLETTER

Liebe Kund*innen und Abonnent*innen des Newsletters,
ich freue mich, Ihnen eine weitere Ausgabe des Newsletters präsentieren zu dürfen und habe heute die folgenden Themen für Sie:
  1. US-Amerikanische Dienstleister und der Datenschutz
  2. Datenschutz auf Webseiten
  3. Aktuelles aus dem Datenschutz

1. US-Amerikanische Dienstleister und der Datenschutz

Dieses Thema wird uns sicher nie in Ruhe lassen, bis endlich wieder ein Datenschutz-abkommen zwischen der EU und den USA getroffen wird, und die USA den Status eines Angemessenheitsbeschlusses besitzen.
Die Geister scheiden sich neuerdings an dem Punkt „Verschlüsselung“. Ich nehme als Beispiel hierfür, um die Problematik zu erklären, mal wieder Microsoft 365: Microsoft speichert und verarbeitet inzwischen alle Daten, Inhalte wie Telemetriedaten, auf Servern innerhalb der EU. Diese Server sind verschlüsselt. Einen Teil der Telemetriedaten kann man aber nicht verschlüsseln, weil sonst die Technik nicht mehr funktionieren würde. Ferner stellt sich die Frage, ob Microsoft die Verschlüsselung aushebeln oder Daten entschlüsseln könnte, um so einer Anfrage einer US-Behörde nachzukommen. Anders ausgedrückt: In Bezug auf die Sicherheit ist bei Microsoft alles so, als wäre es ein europäischer Anbieter, ausgenommen der Pflicht von Microsoft ggf. Daten an US-Behörden übermitteln zu müssen. Standartvertragsklauseln allein können das nicht wirksam verhindern. Verschlüsselung wäre das Mittel der Wahl, das zusätzlich eingesetzt werden müsste, um ein gleichwertiges Datenschutzniveau herzustellen. Eine Verschlüsselung, die auch der Dienstleister, in diesem Beispiel Microsoft, nicht entschlüsseln kann und somit jeder Datentransfer unmöglich ist. Und hier scheiden sich die Geister. Könnte Microsoft im Zweifelsfall Kundeninhalte entschlüsseln oder nicht? Niemand kann es mit Sicherheit sagen.
Würde man es streng auslegen, dann verstieße jeder Einsatz eines amerikanischen Dienstleisters gegen den Datenschutz. Es wäre egal, wo die Server stehen und auch alles andere. In jedem Fall bestände die Möglichkeit, dass Daten unter dem sogenannten „Cloud-Act“ an US-Behörden übermittelt werden. Und seien es nur Telemetriedaten.
Neben der strengen Auslegung, gibt es auch die Auslegung, dass geprüft werden muss, ob es sich um ein gleichwertiges Schutzniveau handelt. In Deutschland ist die Nutzung von digitalen Daten zu Zwecken von Ermittlungen der Behörden in der StPO §100a bis k geregelt. Digitale Kommunikation darf hiernach bei einem bestehenden Verdacht bestimmter Straftaten, auch ohne Kenntnis der betroffenen Personen, überwacht werden. Dafür darf auch in die Endgeräte der betroffenen Personen eingegriffen werden, insbesondere um Kommunikation unverschlüsselt zu erhalten. Die Anbieter der entsprechenden Telekommunikationsdienstleistung sind hierbei sogar zur Mithilfe verpflichtet. Die interessante Frage ist dann die, wer eine solche Maßnahme erlassen kann? Das ist grundsätzlich eine Staatsanwaltschaft, die dafür eine gerichtliche Anordnung braucht. Aber bei Gefahr im Verzug, kann die Anordnung auch direkt von der Staatsanwaltschaft erlassen werden. Dabei sind, anders als in den meisten Ländern, unsere Staatsanwaltschaften nicht unabhängig, sondern unterstehen einem Weisungsrecht der Innenministerien. Es kann also, de facto ohne gerichtliche Anordnung, eine Staatsanwaltschaft, wenn sie „Gefahr im Verzug“ anführt, für drei Tage (StPO §100e) überwachen, bis der Beschluss, wenn ein Gericht ihn nicht bestätigt, erlischt. Und in diesen drei Tagen könnte die Staatsanwaltschaft sich ohne gerichtliche Anordnung, nach eigenem Belieben, personenbezogene Daten beschaffen.
In Deutschland ist es also keinesfalls so, dass unsere personenbezogenen Daten von Ermittlungsbehörden nicht angefordert werden dürfen und Telekommunikationsdienstleister diese nicht herausgeben müssen. Im Zweifelsfall müssen diese das sehr wohl, auch ohne gerichtlichen Beschluss, auf bloße Anordnung einer Staatsanwaltschaft, die einem Innenministerium weisungsgebunden ist. Darüber hinaus haben betroffene Personen auch keine effektiveren Schutzrechte, weil sie selbst gar keine Kenntnis darüber erlangen, dass personenbezogene Daten bei der Staatsanwaltschaft verarbeitet werden. Und dann stellt sich die Frage, ob das jetzt ein höheres Schutzniveau für personenbezogene Daten darstellt als in den USA. Dabei dürfen die amerikanischen Behörden, anders als unsere, nicht technisch in die Systeme betroffener Personen oder von Telekommunikationsanbietern eingreifen, und es bestehen noch andere Beschränkungen. In die Gesamtbetrachtung muss man natürlich auch alle Geheimdienste dieser Welt einbeziehen, die unsere Daten mit den verschiedensten Mitteln und Wegen abfangen und analysieren.
Zu welchem Schluss soll man am Ende kommen? Man könnte ebenso gut argumentieren, dass Daten auf einem verschlüsselten Server eines amerikanischen Dienstes in der USA insofern sicherer sind, als dass eine deutsche Staatsanwaltschaft dann nicht mehr darauf zugreifen kann. Genau wie eine US-Behörde personenbezogene Daten anfragen kann, kann auch eine deutsche Staatsanwaltschaft das tun, wenn der Server in Deutschland steht oder das Unternehmen deutschen Recht unterliegt. Das ist jetzt etwas vereinfacht ausgedrückt, aber unter dem Strich ist das alles „Jacke wie Hose“. Die Strafverfolgung, insbesondere bei schweren Straftaten wie Terrorismus, hat hier die gleichen Möglichkeiten wie in den USA. Details zu diskutieren ist „Erbsenzählerei“. Und von daher bin ich in dieser Diskussion auf der Seite, die es pragmatisch sieht, und sage: Wenn alles auf Servern in der EU gespeichert und verarbeitet wird, es Verschlüsselung gibt, die Sicherheit der Server gewährleistet ist und aktuelle Standartvertragsklauseln bestehen, dann ist das ein angemessenes Datenschutz-niveau, welches unserem unter der DS-GVO entspricht. Folgerichtig bestehen dann für mich keine Bedenken im Einsatz solcher Anbieter.
Und brandaktuell zu dem Thema kommt gerade die Nachricht, dass Mitte Oktober eine „Executive Order“ des Weißen Hauses erlassen werden soll, die eine neue Vereinbarung zum Datenschutz mit der EU in Kraft setzen soll. Hierbei, so erste Informationen, sollen EU-Bürger Sonderrechte bekommen. Die EU-Kommission plant dieses Papier, wenn es dann in Kraft getreten ist, im Eilverfahren einen Status eines Angemessenheitsbeschluss zu verleihen. Damit gäbe es dann wieder ein Datenschutzabkommen mit den USA. Ob dieses dann auch vor dem EUGH Bestand haben wird, ist nicht vorauszusagen.

2. Webseiten und der Datenschutz

Dieses Thema kommt inzwischen gefühlt in jedem Newsletter vor. Die Bedeutung nimmt stetig zu und leider gilt das auch für die Risiken der Betreiber von Webseiten, wenn diese nicht datenschutzkonform sind.
Das Urteil des LG München I zu Google Fonts, an dessen Ende ein Schmerzensgeld von EUR 100,00 stand, mag bzgl. letzteren falsch sein. Richtig ist aber, dass der Einsatz von Google Fonts in einer Webseite nicht ohne vorherige Einwilligung erlaubt ist. Wenn auch unter der DS-GVO der ein oder andere hier andere Auffassungen hatte, so ist das TTDSG, das nun fast 1 Jahr in Kraft ist, diesbezüglich in jedem Fall eindeutig. Vor diesem Hintergrund muss ein berechtigtes Interesse oder die Breyer-Rechtsprechung nicht mehr diskutiert werden. Die Speicherung von Informationen (zum Beispiel Cookies) und der Zugriff auf Informationen in einer Endeinrichtung durch den Betreiber einer Webseite ist nur dann ohne Einwilligung erlaubt, wenn der Betreiber der Webseite dadurch einen von den Nutzer*innen der Seite ausdrücklich gewünschten Dienst zur Verfügung stellt. Im TTDSG steht auch nichts mehr von Abwägung der Interessen, sondern es geht nur noch um die Frage, ob eine Funktion einer Webseite für Nutzer*innen als „ausdrücklich gewünschter Dienst“ einzustufen ist. Ist eine Funktion nicht entsprechend einzustufen und werden dabei Informationen gespeichert oder es wird Zugriff auf Informationen im Endgerät genommen, dann ist diese Funktion, ohne vorherige Einwilligung, untersagt. Wer es dennoch tut, der handelt rechtswidrig.
Ob es dann bei einer solchen Rechtswidrigkeit, wie beim Urteil des LG München I, ein Schmerzensgeld zu Gunsten der Endnutzer*innen einer Webseite gibt, ist nicht ausschlaggebend. Ausschlaggebend ist vielmehr, dass der Anspruch auf Unterlassung des rechtswidrigen Handelns besteht und jede darauf abzielende Klage Erfolg haben wird. Für den Betreiber einer Webseite entstehen dann Anwalts- und ggf. Gerichtskosten, die er bezahlen muss. Diese Kosten können beträchtlich sein. Es wird also langsam ein Muss, eine datenschutzkonforme Webseite zu haben. Man kann bei Verstößen gegen die DS-GVO und das TTDSG nicht mehr damit rechnen, dass man ohne finanzielle Verluste damit durchkommt.
Problematisch in diesem Zusammenhang sind auch Einwilligungsformulare, die zwar angeben, dass sie datenschutzkonform sind, aber tatsächlich keine Funktion haben. Erschreckenderweise trifft das auf 2/3 aller Einwilligungsformulare auf Webseiten zu. Diese blockieren entsprechende Funktionen entweder gar nicht oder spielen sie auch dann aus, wenn Nutzer*innen „alles ablehnen“ auswählen. Problem dabei ist meistens die tiefere technische Unwissenheit der Betreiber der Webseiten, oftmals auch der Webdesigner, über derartige Funktionen in Bezug auf den Datenschutz. Nicht selten tätigt man in einem Consent-Manager die richtigen Einstellungen, überprüft aber danach nicht, ob diese auch greifen. Man vertraut darauf, dass man das richtige Kästchen angeklickt hat. Ist man später gezwungen sich vor der Aufsichtsbehörde oder einem Gericht zu rechtfertigen, dann wird das Argument „ich habe das richtige Kästchen angeklickt und darauf vertraut“ nicht helfen. Es wird auch nicht helfen, wenn man argumentiert, dass man einem dritten Anbieter solcher Consent-Manager-Tools vertraut hat. Diese Consent-Manager-Tools, und ich hatte das bereits im letzten Newsletter gesagt, sind mit großer Vorsicht zu genießen. In der Regel wird hier eine Nebelkerze an technischer Desinformation in den Raum geworfen, jemand listet seine Zertifikate auf, um zu zeigen, dass eine höhere Weisheit zu dem Thema besteht, und verkauft dann kleine wilde bittere Kirschen als wohlschmeckende süße Birnen.
Für Webseitenbetreiber kommt im Zweifelsfall auch noch die Problematik der Nachweis-barkeit der getätigten Einwilligung durch einen Nutzer hinzu. Hier könnte das im TTDSG geforderte so genannte PIMS-Verfahren helfen. Leider ist dieses aber in der Umsetzung nicht durchdacht und führt zu mehr Fragen als Antworten. Es ist nicht damit zu rechnen, dass ein solches Verfahren bis Ende 2023, wie es vorgesehen war, zur Verfügung steht. Das TTDSG müsste hier noch nachgebessert werden, so mein Einschätzung.
Was bedeutet das alles für die Praxis? Die Antwort auf diese Frage ist recht einfach: Jeder Betreiber einer nicht datenschutzkonformen Webseite muss damit rechnen, früher oder später verklagt zu werden. Und diese Klage wird man dann schlichtweg verlieren. Ich nehme mal einen gängigen Praxis-Fall: Das Einwilligungsformular einer Webseite funktioniert nicht, Google Analytics wird trotz ausdrücklicher Ablehnung geladen. Der Besucher der Webseite merkt das und macht eine Auskunftsanfrage nach Art. 15 DS-GVO und sein Recht auf Löschung geltend. Der Betreiber der Webseite kann diese nicht rechtlich genügend beantworten, weil es schlicht unmöglich ist. Er hat keinen Zugriff auf Google, kennt die genaue Verarbeitung der Daten dort nicht, erfährt dieses von Google auch nicht und kann die Daten vor allem nicht löschen lassen. Der Rechtsverstoß ist eindeutig. Der Besucher klagt dann und der Betreiber der Webseite verliert. Er wird dann, unter Zwangsgeld bei einer Zuwiderhandlung, zur Unterlassung oder, noch schlimmer, zur Erbringung einer Auskunft oder Handlung verurteilt, die er nicht erbringen kann. Und an dieser Stelle wird es unvorhersehbar. Daher kann ich wirklich nur jedem Betreiber einer Webseite raten, diese datenschutzkonform zu erstellen. Am besten ganz ohne jede dritten Skripte oder Cookies, insbesondere beim Tracking, damit man auf der sicheren Seite ist. Macht man das, braucht man auch kein Einwilligungsformular und die Besucher*innen freut das, weil diese Formulare inzwischen jeden nerven. Und ich wiederhole auch nochmal diese Aussage, die ich bereits in vielen Newslettern gemacht habe: Google Analytics ist deswegen kostenlos, weil es Google nutzt und nicht den Kunden. Für letztere ist das Tool mehr Nachteil als Vorteil. Und Google Analytics steht bei dieser Aussage stellvertretend für alle diese Tools.

3. Aktuelles aus dem Datenschutz

Der BfDI (Bundesbeauftragte für den Datenschutz und die Inforationssicherheit) hat das Urteil des EUGH zur Vorratsdatenspeicherung begrüßt. Das Urteil war in meinen Augen vorhersehbar und unsere Politik sollte endlich verstehen, dass die Vorgehensweise in dieser Form gegen EU-Recht verstößt. Der BfDI führt dazu, meiner persönlichen Meinung nach völlig richtig, aus, dass die anlasslose Vorratsdatenspeicherung auch keine verhältnismäßige Hilfe in der Aufklärung von Straftaten darstellt.
Da ich schon beim BfDI bin: Wie fast jedes Jahr, wurde auch diese Jahr von dieser Stelle wieder einmal umfangreiches Informationsmaterial für Eltern zum Thema Datenschutz in Bezug auf Kinder in der digitalen Welt zur Verfügung gestellt. Den Link dahin finden Sie hier: BFDI-Bund
Und um weiterhin bei BfDI zu bleiben: Wussten Sie, dass es auch ein G7-Treffen der Datenschutzbehörden der entsprechenden Länder dieser Runde gibt? Das gibt es wirklich. Es heißt „G7-DPA Roundtable“ und der BfDI berichtet über die Ergebnisse, die uns vor allem eine neue Abkürzung bringen: „DFFT“ – Das steht für „Data free flow with trust“. Zusammen wollen die Datenschutzbehörden der G7 Länder für ein solches Abkommen werben. Das nehmen wir mal zur Kenntnis und schauen, was daraus wird.
Microsoft hat seine Standartvertragsklauseln zu M365 aktualisiert und an weitere Vorgaben der deutschen Aufsichtsbehörden angepasst. Ab 15.09.2022 gilt eine neue Fassung. Spätestens jetzt sollte man mit der Frage nach dem rechtmäßigen Einsatz von M365 in Deutschland mal aufhören, und sich mit den viel dringlicheren Fragen zum Einsatz dieser Anwendung beschäftigen. Die dringlichste Frage dabei wäre, wie man diese Anwendung korrekt konfiguriert und wie man das im Unternehmen sicherstellt.
In Bayern gibt es eine neue Krankenhausreform. Das wäre an dieser Stelle nicht erwähnenswert, wenn es nicht etwas mit Datenschutz zu tun hätte. Die Reform löst nämlich ein Problem, dass so nicht nur im Bundesland Bayern besteht. Zur Sicherheit der IT, und damit auch einem besseren Datenschutz, ist es teilweise durchaus sinnvoll keine eigenen IT-Lösungen zu installieren, sondern externe Anbieter hierfür zu nutzen. Das war bisher in Bayern so aber gar nicht erlaubt und bedurfte erst einer rechtlichen Grundlage. Was diesen einen Punkt angeht, der Krankenhäusern in Bayern dann auch mehr Möglichkeiten mit externen IT-Dienstleistern zusammenzuarbeiten und bei der Auslagerung ihrer Daten gibt, ist diese Reform sehr zu begrüßen.
Die italienische Datenschutzbehörde hat sich zu der bevorstehenden neuen Version von Google Analytics, dem so genannte „Google Analytics 4“, geäußert: Die Quintessenz der Aussagen ist dabei die, dass die datenschutzkonforme Einsetzung von Google Analytics nur sehr theoretisch ist, und dass sich das auch unter Google Analytics 4 nicht ändern wird.
Mehrfach im Monat September stand wieder das Thema „Haftungsfragen im Datenschutz“ auf der Tagesordnung. Ich sage es nochmal in aller Deutlichkeit: Geschäftsführer*innen können für mangelnde Compliance-Umsetzungen, auch beim Datenschutz, persönlich haftbar gemacht werden. Man sollte jede notwendige Umsetzung von Compliance daher sehr ernst nehmen.
In Düsseldorf hat die Polizei eine Warnmeldung vor dem Betrug mit Kontodaten heraus-gegeben. Ich frage mich, ob so etwas überhaupt noch erwähnenswert ist oder nicht den Alltag eines jeden in den E-Mails wiederspiegelt. Im konkreten Fall geht es um falsche SMS, die angeblich von der Bank der betroffenen Personen geschickt werden. Natürlich sind die SMS ein Fake. Klicken Sie niemals auf Links in einer SMS und geben Sie niemals Passwörter oder Tan-Nummern per SMS heraus.
Im Phishing per E-Mail zeichnet sich eine neue Masche ab: Es werden dabei, neben dem Empfänger, mehrere Personen ins „cc“ gesetzt. Diese Personen im „cc“ antworten dann und führen eine Diskussion, um so dem Empfänger, der diese Antworten alle im „cc“ mitbekommt vorzuspielen, dass es sich um eine seriöse Angelegenheit und eine echte E-Mail handelt. Die Methoden beim Phishing werden in der Tat immer raffinierter und man sollte unbekannten Absendern grundsätzlich nicht vertrauen.
Die EU plant eine neue Verordnung und will Alltagsgegenstände, zum Beispiel Kühlschränke oder Autos etc., besser gegen Cyber-Angriffe schützen. Dafür wurde im September von der EU-Kommission eine Entwurf für einen „Cyber Resilience Act“ (CRA) vorgelegt. Ich sehe das ja grundsätzlich positiv und die Problematik macht eine Regulation erforderlich. Der Punkt ist aber der, dass die Umsetzung der Verordnungen in den einzelnen Ländern am Ende nicht funktioniert und auch keine Aufsicht vorhanden ist, die die personellen Ressourcen hat, solche Gesetze in der Umsetzung zu überwachen. Schauen wir einmal, wo dieser Ansatz hinführt.
Für alle Fußball-Fans: Ein brasilianischer Hacker hat auf der Webseite des FC Bayern München eine Sicherheitslücke entdeckt. Er hat sich damit an den FC Bayern gewandt, die diesem hierfür eine Belohnung gezahlt haben. Das berichtet ein österreichisches Online-Medium und ich finde das gut. In der Regel bekommen Hacker, die eine Sicherheitslücke melden, nur Strafanzeigen und keine Belohnung. – Da wir schon in München sind: Dort gab es laut dem it-daily.net einen massiven Cyber-Angriff auf die Caritas München-Oberbayern. Unbekannte haben diese Organisation mit über 10.000 Mitarbeiter*innen mit Ransomware angegriffen. Zahlreiche Daten und Geräte wurden verschlüsselt. Es gibt eine hohe Lösegeldforderung. Die Polizei ermittelt.
Wie man am Beispiel der Caritas in München sieht, tobt weiterhin der ganz normal Cyber-Wahnsinn und jeder kann jederzeit zum Opfer werden. Machen Sie nicht den Fehler und glauben, dass Sie nicht gefährdet sind, weil sich für Sie kein Hacker interessiert. Die Methode der Hacker ist die, eine Attacke durch das ganze Internet zu jagen und zufällig irgendjemanden zu treffen. Dieser irgendjemand können Sie sein!
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Im nächsten Newsletter geht es mal wieder um M365, aber dann nicht um die rechtliche Seite, sondern um die Fragen, die sich bei der praktischen Nutzung der Anwendung im Unternehmen stellen.
Herzliche Grüße
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
Ich möchte mich vom Newsletter abmelden. Ich habe Fragen zu meinen Rechten und möchte die Datenschutzerklärung lesen. Ich weiß nicht, warum ich diese E-Mail bekomme oder möchte dem Absender eine Nachricht schicken.

Der Verfasser ist IT-Sicherheitsbeauftragter (ISB) sowie Datenschutzbeauftragter (DSB) und führt die Befähigung nach Artikel 37 DS-GVO sowie § 38 BDSG. Im Rahmen der Dienstverhältnisse mit Kunden besteht für die Richtigkeit der im Newsletter gemachten Aussagen eine Haftung gemäß den vertraglichen Vereinbarungen. Eine Haftung für sonstige Abonnent*innen des Newsletters, die kein Dienstverhältnis mit dem Verfasser haben, wird ausgeschlossen. Es wird darauf hingewiesen, dass der Newsletter sich auf die Rechtslage im Sinne des Datenschutzes bezieht. Sachverhalte können im Sinne des Datenschutzes rechtskonform sein, jedoch trotzdem gegen andere Rechtsnormen verstoßen und aufgrund dieser nicht erlaubt sein. Der Newsletter beinhaltet allgemeine Information und stellt keine Rechtsberatung dar.

 

IMPRESSUM:
Tobias Lange – Unternehmensberater
Externer Datenschutzbeauftragter (DSB)
Externer IT-Sicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de